渗透测试是一种模拟的安全攻击,本质上是企业针对自己的系统进行的一种攻击演习,以检查可利用的漏洞。渗透测试主要针对应用程序编程接口、服务器和任何泄露的入口点,以实现web应用防火墙的安全性。
安全公司Pentera通过调查300名安全高管得出的《渗透测试年度报告》发现,92%的组织正在提高其整体IT安全预算;86%的人正在增加渗透测试的预算。
其中,欧洲的渗透测试和IT安全预算的增长速度比美国更为显著,42%的欧洲受访者表示他们的渗透测试预算增长了10%以上,而美国的受访者只有17%。据估计,到2026年,渗透测试市场将增长24.3%,主要参与者包括IBM、Rapid7、FireEye、Veracode以及Broadcom。
云和基础设施服务是渗透测试的重点
Pentera的研究发现,平均而言,公司有44个安全解决方案,这表明了一种纵深防御战略,即多层安全解决方案以最好地保护关键资产。尽管在这些所谓的“纵深防御”战略上投入了大量资金,但Pentera调查的88%的组织最近仍遭受了网络攻击。
该调查提供了测试最多的基础设施层的分类:
- 云基础设施和服务(44%);
- 面向外部的资产(41%);
- 核心网络(40%);
- 应用程序(36%);
- 活动目录和密码评估(21%);
受访者进行渗透测试的主要动机是:
- 安全控制和验证(41%);
- 评估攻击的潜在损害(41%);
- 网络保险(36%);
- 法规遵从和合规性(22%);
Pentera首席营销官Aviv Cohen表示,
“我们得出的结论是,CISO必须更加重视对整个安全堆栈的验证,以确保他们能够有效地减少风险。”
大多数CISO会尽快与IT共享渗透测试结果
根据Pentera的调查,47%的首席信息安全官表示,他们会立即与IT安全团队分享渗透测试结果。虽然乍一看,这个数字似乎很低,但考虑到对运营完整性的潜在影响,Pentera客户运营副总裁Chen Tene表示,与过去渗透测试只为满足合规要求相比,这是一个巨大的进步。
Tene表示,
“人们过去习惯于获得基于合规的结果,并把它放在一个盒子里进行认证。但你现在看它会发现它已经改善了很多,部分原因是更多人开始关注网络保险,这是他们能够理解的事情。”
网络安全和保险公司Coalition就是这样一家公司,该公司的安全工程师Tommy Johnson表示,该公司在承保方面不需要红队演习。虽然它可以显示一个组织有一个成熟的安全计划,并从整体上考虑安全问题,但我们不认为它是一个交易破坏者。对我们来说,这是一个积极的信号。我们会继续鼓励它。
CISO交付渗透测试结果的其他人员和团体包括:
- 董事会(43%的CISO优先上报到这里);
- 高管级同事(38%);
- 客户(30%);
- 监管机构(20%);
- 档案(9%);
- 不共享(3%);
对白帽黑客的障碍和抵抗
渗透测试会扰乱运营吗?CISO担心这一点。事实上,45%已经进行了手动或自动渗透测试的人表示,业务应用程序或网络可用性的风险阻止了他们增加测试频率;56%完全没有进行渗透测试的受访者也表达了这种观点。渗透测试人员的可用性(或缺乏)是不进行测试的第二大原因。
Tene承认,这种颠覆性的担忧是合理的。许多组织都遭受了渗透测试的干扰。例如,当渗透测试员进入一个组织并进行侵入性测试时,总有可能产生不同程度的拒绝服务,但当有人坐在管理员面前时,就有了误差范围。
报告还指出,雇佣白帽黑客团队定期对基础设施进行测试并不在许多公司的预算范围之内。在这项研究中,33%的美国受访者认为这是他们不经常进行手动渗透测试评估的原因。
渗透测试vs红队测试:异同?
Johnson表示,人们可能很容易将渗透测试与红队测试混为一谈,但尽管它们存在一些重叠之处,但也有关键的区别。一般来说,渗透测试是为了扫描范围内网络资产的技术错误配置或漏洞,并通过实际利用来确认它们。红队测试则更有针对性。它通常涉及一个团队,利用技术和物理弱点来实现一个目标,如果威胁行为者也这样做,就会对组织造成损害。
例如:管理层可能会指示红队试图闯入数据中心,并将恶意USB插入特定的公司服务器。这种练习可能涉及社会工程、徽章克隆、技术开发以及其他通常超出标准渗透测试范围的策略。
确实,红队和渗透测试存在一些重叠,但关键的区别在于目标:渗透测试通常是为了列举和利用技术弱点,而红队则利用物理和技术弱点来实现一些预定义的目标。然而,两者都是为了突出可能需要立即补救的安全漏洞。
2023年渗透测试的驱动力
Gartner在2022年10月预测,今年信息安全和风险管理产品和服务的支出将增长11.3%,超过1883亿美元。
Pentera表示,67%的CISO报告有内部红队,但96%的安全高管报告称,到2023年底,他们已经或计划拥有一个内部红队来完成这一关键任务。
Tene表示,在不久的将来,云基础设施的安全性将会大大提高。如今,很多公司都在依赖云技术,但其安全级别却是未知的,很少有安全专业人士知道如何检查它。
Tene还预测,在以远程访问工作空间(无论是通过VPN、邮箱、电话还是家庭网络)为特征的威胁面中,证书暴露将继续存在问题。他表示,
“这几乎是每一次攻击的起点。然而,我认为,人们对证书安全的概念理解将会更好,在日常运营中,人们对身份控制的意识将会大大提高。”
原文链接:
https://www.techrepublic.com/article/it-budgets-pen-testing-tech-stack/